Beiträge

February 20, 2020

EuGH zur Videoüberwachung – du darfst!

Wir Datenschützer waren in den letzten Monaten nicht unbedingt von EuGH-Urteilen gesegnet, die uns das Leben einfacher gemacht hätten. Nach dem Cookie-Urteil im Oktober wandten sich viele von uns in weiser Voraussicht lieber den Rezepten für Omas Weihnachtsplätzchen zu. Doch dann, kurz vor der Bescherung, entschied der EuGH (Az. C-708/18), dass die Hürden für eine zulässige Videoüberwachung ohne Einwilligung gar nicht mal so hoch sind: Eine Beeinträchtigung des berechtigten Interesses am Schutz von Eigentum und Personen muss nicht zuvor bereits eingetreten sein. Außerdem ist die Verhältnismäßigkeit der Videoüberwachung unter Berücksichtigung der konkreten Umsetzung zu beurteilen: Läuft die Videoüberwachung nur nachts bzw. außerhalb der üblichen Betriebszeiten? Werden nur Gemeinschafts- und Eingangs- und Zugangsbereiche erfasst? Was sind die technischen Fähigkeiten der Videoüberwachungsanlage?



February 13, 2020

Allianz für Cyber-Sicherheit – wir sind dabei!

HK2 Rechtsanwälte und HK2 Comtection GmbH sind seit Ende 2019 Teilnehmer der Allianz für Cyber-Sicherheit. Sie wurde 2012 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Ziel gegründet, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Die Initiative unterstützt Unternehmen dabei, sich kurzfristig auf eine äußerst dynamische Bedrohungslage einstellen zu können, indem der Austausch von Informationen, Wissen und Erfahrungen zum Umgang mit Cyber-Risiken ermöglicht und Sicherheitskompetenzen stetig ausgebaut werden.
Derzeit engagieren sich 4088 Teilnehmer, 122 Partner und 96 Multiplikatoren im Rahmen der Initiative, darunter IT-Dienstleistungs- und -Beratungsunternehmen, IT-Hersteller und Anwenderunternehmen aller Größen und Branchen. Wir freuen uns auf einen informativen Austausch am Puls der Cyber-Sicherheit!



February 10, 2020

Vorsicht bei Tiernamen und Körperöffnungen!

Diese gehören nämlich nicht in Ihr CRM. Denn wenn mal die Aufsichtsbehörde vorbeischaut, kann es für Sie peinlich (und teuer) werden, wenn der Account Manager seinem Frust über den renitenten Kunden im CRM freien Lauf gelassen hat. So nun geschehen mit einem Unternehmen in Frankreich. Dem wurde von der französischen Aufsicht CNIL für eine Reihe von Datenschutzverletzungen ein Bußgeld in Höhe von 500.000 EUR aufgebrummt, u. a. für datenschutzwidrige Telefonwerbung, die Aufzeichnung von Kundengesprächen ohne Information, fehlende Kooperation mit der CNIL und eben für die Speicherung unangemessener Kommentare über Kunden im CRM-System. Dann den Mitarbeitern lieber andere Möglichkeiten zum Dampf ablassen geben (Sport?). In veterinärmedizinischen und gastroenterologischen Praxen dürfte die Sache mit den Tiernamen und Körperöffnungen übrigens nochmal anders gelagert sein.



February 4, 2020

Kein berechtigtes Interesse für Fotos auf Facebook?

Wer Fotos, auf denen Personen erkennbar sind, bei Facebook postet, kann dafür laut VG Hannover kein berechtigtes Interesse in Anspruch nehmen. Ein SPD-Ortsverband hatte ein Veranstaltungsfoto auf seiner Facebook-Fanpage gepostet, auf dem ein Ehepaar zu erkennen war. Das Foto wurde auf Beschwerde der Eheleute umgehend gelöscht, diese legten dennoch Beschwerde bei der Aufsichtsbehörde ein (vermuteter Beruf: Lehrer). Laut Gericht war die darauf ergangene Verwarnung der Aufsichtsbehörde rechtmäßig. Die Verwendung des Fotos in der Berichterstattung über die Veranstaltung sei durchaus zulässig, nicht jedoch bei Facebook. Damit würde eine nicht kontrollierbare Datenverarbeitung durch Facebook ausgelöst. Insofern bestünde weder nach KunstUrhG bei journalistischen Inhalten noch nach allgemeinen Grundsätzen ein berechtigtes Interesse.



December 2, 2019

SDM 2.0: Die DSGVO als Nacherzählung

In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM.



November 29, 2019

Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung

Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden.



November 5, 2019

Bußgeldkonzept der DSK

Die Datenschutzkonferenz hat im Oktober ihr achtseitiges DSGVO-Bußgeldkonzept veröffentlicht. Es soll nur auf Unternehmen bei nicht-grenzüberschreitenden Fällen angewandt werden und nicht auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Die Bußgeldfestsetzung erfolgt dabei in fünf Schritten:

1. Zuordnung des Unternehmens einer Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe
3. Ermittlung eines wirtschaftlichen Grundwertes
4. Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor
5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger Umstände

Ob dieses Konzept auch zu verhältnismäßigen Geldbußen führen wird, ist fraglich. Denn ein großes Unternehmen erzielt automatisch einen höheren Grundwert, und die korrigierende Wirkung von Tat- und täterbezogenen Umständen bleibt unklar.



November 4, 2019

Profiling und Tracking im Internet nicht notwendig für Vertragsschluss

Der Europäische Datenschutzausschuss hat kürzlich eine Handreichung zur Verarbeitung personenbezogener Daten zum Zweck der Vertragserfüllung im Rahmen des Angebots und der Nutzung von Online Diensten veröffentlicht. Diese Form der Verarbeitung ist auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b) EU-DSGVO datenschutzrechtlich zulässig, wenn sie zur Erfüllung eines Vertrags, dessen Person die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. So soll beispielsweise die Verarbeitung von Kreditkarteninformationen, von Rechnungsdaten sowie der Lieferanschrift an die Heimatadresse des Kunden im Rahmen eines regulären Online Einkaufs zulässig sein. Für den Fall, dass der Kunde beim Kauf die Lieferung an eine Abholstation ausgewählt hat, wird die Verarbeitung der Heimatanschrift zur Vertragserfüllung als nicht mehr erforderlich qualifiziert. Der Europäische Datenschutzausschuss hat zur Anwendung der Norm weitere Fallkategorien gebildet und dabei klargestellt, dass die Datenverarbeitung zum Zweck der Betrugsprävention bei Online Käufen ebenso wenig auf Art. 6 Abs. 1 lit. b) EU-DSGVO gestützt werden könnte wie Online Tracking und Profiling.



October 9, 2019

Verarbeiten Sie Sozialdaten im öffentlichen Auftrag?

Dann wundern Sie sich nicht, wenn die nächste Ausschreibung eine aktuelle ISO 9001 oder ISO 27001-Zertififzierung verlangt. Laut einem Beschluss der Vergabekammer des Bundes vom 19.07.2019 ist dies besonders durch die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten gerechtfertigt und wird auf § 49 Abs. 1 VgV gestützt. Dabei spielt es keine Rolle, ob der öffentliche Auftraggeber selbst zertifiziert ist, denn bei internen Prozessen könne man die Sicherheit der Verarbeitung schließlich selbst einschätzen.

Übrigens kann eine Werbeaussage „Zertifiziert nach ISO 9001“ auch bei ordnungsgemäßer Zertifizierung eine irreführende Wettbewerbsverletzung darstellen, wenn nicht klar ersichtlich ist, auf welche Dienstleistung sich die Zertifizierung bezieht, entschied das OLG Düsseldorf.



October 8, 2019

OLG Düsseldorf: Kartellamt vs. Facebook

Nachdem sich die Datenschutzaufsichtsbehörden schon länger für die Verarbeitung von Nutzerdaten durch Facebook interessierten, hatte zuletzt auch das Bundeskartellamt (BKartA) die Datenverarbeitung geprüft und festgestellt, dass Facebook seine Marktmacht durch den Umfang der Sammlung, Verwertung und Zuführung von Daten aus dem Nutzerkonto missbrauche. Aus diesem Grund hat das BKartA dem Unternehmen im Februar 2019 untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Gegen diese Anordnung hat Facebook beim OLG Düsseldorf Rechtsmittel eingelegt. Der 1. Kartellsenat des OLG Düsseldorf hat daraufhin Zweifel an der Rechtmäßigkeit der kartellbehördlichen Anordnung geäußert, da ein möglicher Verstoß gegen Datenschutzbestimmungen nicht zugleich einen Verstoß gegen das Wettbewerbsrecht bedeute. Über den Bestand der Anordnung des BKartA wird nun in dem beim OLG Düsseldorf anhängigen Beschwerdeverfahren entschieden werden.



September 3, 2019

Stößt sich Berlin am Datenschutz gesund?

Arm, aber sexy“ und alimentiert über den Finanzausgleich – damit ist in Berlin vielleicht bald Schluss, denn der Datenschutz könnte sich als interessante Einnahmequelle für das Land erweisen: Die Berliner Beauftragte für den Datenschutz informierte das Berliner Abgeordnetenhaus laut Medienberichten kürzlich über DSGVO-Bußgelder in Rekordhöhe, die sich gegen zwei Berliner Unternehmen abzeichnen. Das eine erhielt offenbar zwei Bußgeldbescheide in Höhe von insgesamt 200.000 EUR. Das andere darf sich wohl auf einen Bescheid im zweistelligen Millionenbereich freuen. Dies wären dann die bisher höchsten Bußgelder, die in Deutschland gemäß DSGVO verhängt wurden. Diese sieht Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Vorjahresumsatzes eines Unternehmens vor. In Berlin fließen die Bußgelder in den Landeshaushalt. Den Finanzsenator dürfte es freuen.



September 2, 2019

Zulässigkeit der Ausweiskopie

Im Geschäftsleben ist die Kopie des Ausweises schon länger ein beliebtes Mittel zur Identitätskontrolle. Dabei ist das Kopieren von Ausweisdokumenten überhaupt erst seit 2017 erlaubt. Nun darf nur der Inhaber selbst die Kopie vornehmen und diese an Dritte weitergeben. Die mit der Speicherung einer Kopie verbundene Verarbeitung der dort enthaltenen personenbezogenen Daten soll nur mit Einwilligung des Inhabers zulässig sein. Das ist deswegen problematisch, weil die Feststellung der Identität durchaus auch im Rahmen einer Vertragserfüllung oder eines berechtigten Interesses liegen kann. Ein Infopapier des LDI NRW zum Thema erwähnt die Einwilligung nur nebenbei und stellt ansonsten auf die Erforderlichkeit ab. Damit bleibt unklar, auf welchen Rechtsgrundlagen DSGVO abgestellt werden kann. In jedem Fall sollte die Kopie nicht dauerhaft gespeichert, sondern nach Identitätsfeststellung gelöscht werden.



August 1, 2019

Verteidigung der Persönlichkeitsrechte durch Flugabwehr #Drohnentod

Das Fliegen einer kameraausgestatteten Drohne über dem Nachbargrundstück ist keine kindlich-unschuldige Freizeitbeschäftigung, sondern eine Beeinträchtigung der Persönlichkeitsrechte der Nachbarn. Das musste ein Drohnenpilot vor dem Amtsgericht Riesa lernen, der mit der Drohne seines Cousins das gegen Blicke geschützte Nachbargrundstück überflogen, die Ehefrau des Nachbarn verfolgt und deren gemeinsame Kinder verängstigt hatte. Der Nachbar griff kurzerhand zum handelsüblichen Luftgewehr und holte die Beeinträchtigung der Persönlichkeitsrechte seiner Familie mit zwei Schüssen vom Himmel, was zum Totalschaden des Fluggeräts führte. Das Gericht sprach den Nachbarn vom Vorwurf der Sachbeschädigung frei, da dieser im bürgerlich rechtlichen Notstand (§ 228 BGB) gehandelt hatte. Erst luftgestützt ausspähen, dann noch Strafantrag stellen: Mimimi.



July 30, 2019

Bestellpflicht für Datenschutzbeauftragte

Der Datenschutzbeauftragte – für manche das Unwort des Jahres 2018. Die Pflicht zur Bestellung bestand zwar schon vorher,  viele beschäftigen sich trotzdem erst aus Anlass der DSGVO mit dieser Institution. Die Nachfrage stieg massiv an. Nun wird die Grenze für die Bestellpflicht von 10 auf 20 dauerhaft datenverarbeitende Personen angehoben. So hat es der Bundestag im 2. DSAnpUG-EU beschlossen. Kleinere Unternehmen sollen entlastet werden. Die müssen aber natürlich auch ohne DSB-Pflicht die Vorgaben der DSGVO weiter erfüllen. Hierzu hätte man besser beim Beratungsbedarf ansetzen sollen, nicht bei der Beratungspflicht. Viele Vorgaben des Datenschutzes sind immer noch ungeklärt oder so komplex und undurchdringlich, dass diese für Laien ohne Hilfe kaum umzusetzen sind. So manche gesparte DSB-Vergütung dürfte künftig direkt in verhängte Bußgelder fließen.



July 4, 2019

Kundendaten – Augen auf beim Unternehmenskauf

Werden Unternehmen verkauft, sind die Kundendaten oft besonders wertvoll. Sollen sie im Wege des Verkaufs an ein anderes Unternehmen übergehen (Asset Deal), ist beim Datenschutz Vorsicht geboten. Im Juli 2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt, sowohl gegenüber dem Verkäufer als auch gegenüber dem Erwerber im Rahmen eines Asset Deal Geldbußen in fünfstelliger Höhe wegen datenschutzwidriger Übertragung von Kundendaten verhängt zu haben. Das veräußernde Unternehmen hatte die Kundendaten dabei in datenschutzrechtlich unzulässiger Weise übermittelt, während das erwerbende Unternehmen die Daten datenschutzwidrig erhoben hatte.

Als Guideline hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (unter Ablehnung der Berliner – und der Sächsischen Aufsichtsbehörde) im Mai 2019 Hinweise zur Durchführung datenschutzkonformer Asset Deals beschlossen. Dabei wurden die folgenden Fallgruppen gebildet, die bei einer Prüfung des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO) im Rahmen der Abwägung zu berücksichtigen sind.

  • Bei der Veräußerung von Kundendaten bei laufenden Verträgen soll die zivilrechtliche Genehmigung der Kunden nach § 415 BGB (Schuldübernahme) die datenschutzrechtliche Zustimmung zum Übergang der Kundendaten mit umfassen.
  • Personenbezogene Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung länger als 3 Jahre zurückliegt, sollen übermittelt werden, aber nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflichten genutzt werden dürfen. Die Bestimmung der Frist ergibt sich aus der regelmäßigen 3-jährigen Verjährungsfrist im Sinne von § 195 BGB.
  • Kundendaten, die aus fortgeschrittener Vertragsanbahnung stammen, sowie Bestandskundendaten ohne laufendes Vertragsverhältnis, bei denen die letzte Vertragsbeziehung jünger als 3 Jahre ist, sollen mit Hilfe einer Widerspruchslösung (Opt-out) einschließlich 6-wöchiger Widerspruchsfrist übertragen werden dürfen. Dabei ist zu beachten, dass Bankdaten im Gegensatz zum Zahlungsverhalten davon nicht erfasst werden sollen. Die Übermittlung der Bankdaten bedarf einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 a) in Verbindung mit Art. 7 DSGVO.
  • Liegt der Fall vor, dass offene Forderungen zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden, soll die Übertragung der Kundendaten auf der Rechtsgrundlage von Art. 6 Abs. 1 f) DSGVO erfolgen dürfen. Das soll jedoch nicht gelten, wenn eine Forderungsabtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB), da dann die schutzwürdigen Interessen der Betroffenen überwiegen.
  • Kundendaten, die zu besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO zählen, dürfen nach dem Willen des EU-Gesetzgebers nur mit einer ausdrücklichen Einwilligung der Betroffenen übermittelt werden.

Aus datenschutzrechtlicher Sicht ist beim Unternehmenskauf zunächst die konkrete Fallkonstellation zu bestimmen, um dann die Voraussetzungen für den Übergang von Kundendaten festzulegen. An der Klarstellung durch die Aufsichtsbehörden fällt positiv auf, dass nicht in allen Fällen eine datenschutzrechtliche Einwilligung erforderlich sein soll. Zudem bieten sich über die von der DSK genannten Lösungen hinaus noch weitere Gestaltungsmöglichkeiten an. Insbesondere ist jeweils zu überlegen, inwiefern einzelne Aufgaben im Rahmen der Überführung von Kunden auch im Wege einer Auftragsverarbeitung umgesetzt werden können.




April 5, 2019

das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Der Bundestag hat das neue Gesetz zum Schutz von Geschäftsgeheimnissen am 21.03.2019 verabschiedet. Es wird voraussichtlich noch 2019 in Kraft treten. Damit werden sich die Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen und deren Schutzumfang erheblich ändern. Insbesondere werden Informationen als Geschäftsgeheimnis nur dann geschützt sein, wenn angemessene Geheimhaltungsmaßnahmen zu ihrem Schutz getroffen wurden.

Lesen Sie weiter >



April 2, 2019

Ich – einfach Datenschutzvollstrecker

Sie machen womöglich sonntags gelegentlich einen entspannten Spaziergang. Sie schlendern dabei an dem ein oder anderen Haus vorbei und sehen als datenschutzrechtlich aufgescheuchter Mitbürger Kameras, die Sie beim Promenieren filmen. Wenn Sie jetzt denken: „Na und? Ich  habe nichts zu verbergen.“, können Sie hier aufhören, zu lesen. Anderenfalls stellen Sie sich womöglich die Frage: Kann ich mich dagegen wehren?
Lesen Sie weiter >



February 20, 2019

„5.000 Euro Bußgeld für fehlende Vereinbarung zur Auftragsverarbeitung!“ oder besser: „Wer um Bußgeld bettelt, wird erhört!“

Ein Unternehmen hatte bei der Aufsichtsbehörde angefragt, wie mit einem spanischen Auftragsverarbeiter zu verfahren sei, der sich weigerte, eine AV-Vereinbarung zu unterzeichnen. Auf den richtigen Hinweis der Behörde hin, dass der Abschluss der Vereinbarung gleichermaßen Pflicht des Auftraggebers sei, teilte das Unternehmen dann mehrfach – auch per Anwalt – mit, dem nicht Folge leisten zu wollen. Daraufhin erging das Bußgeld.

Lesen Sie weiter >



February 11, 2019

Facebooks “Gefällt mir”-Buttons nicht fashionable

Vom Generalanwalt des EuGH gibt es kein Like für Facebooks „Gefällt mir“-Button. Die Verbraucherzentrale NRW hatte das Unternehmen Fashion ID verklagt, da dieses auf seiner Website die besagten „Gefällt mir“-Buttons einsetzte, ohne die zu der Zeit geltenden datenschutzrechtlichen Anforderungen der Datenschutz-Richtlinie einzuhalten.

Lesen Sie weiter >



January 30, 2019

Verträge zur gemeinsamen Verantwortlichkeit

Wer kooperativ mit anderen Unternehmen Daten mit Personenbezug verarbeitet, geht meist davon aus, es liege eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. Die Auftragsverarbeitung ist tatsächlich die hergebrachte Lösung für vielerlei Konstellationen, wie z. B. für die Nutzung eines SaaS-Angebotes oder einer Cloud-Leistung. Folge: Es ist eine Auftragsverarbeitungs-Vereinbarung zu schließen.
Lesen Sie weiter >



January 22, 2019

Domainregistrierung: Inhaberdaten sind genug

Die DSGVO revolutioniert auch die Welt der Domains. Die DENIC erhebt seit Geltung der DSGVO keine Daten zum administrativen und technischen Kontakt (sog. Admin-C und Tech-C) mehr. Eine entsprechende Umstellung kündigte auch der Registrar EPAG an und zog sich damit den Unmut der für das weltweite Domainnamensystem verantwortlichen ICANN zu.
Lesen Sie weiter >



October 10, 2018

Das Recht auf Abwägung im Einzelfall

Das vom EuGH entwickelte „Recht auf Vergessenwerden“ und das Recht auf Löschung aus Art. 17 DSGVO sind nicht gleichzusetzen. Darauf wies zuletzt noch einmal das OLG Frankfurt hin, als es über einen datenschutzrechlichen Löschungsanspruch gegen Google entschied. Dies wird mit unterschiedlichen Abwägungskriterien begründet.

Ob eine Löschung durch die datenverarbeitende Stelle vorzunehmen ist, ist im Rahmen von Art. 17 DSGVO im Wege ein Abwägung im Einzelfall festzustellen. Dabei sind die Interessen des Betroffenen, mit den Interessen der Öffentlichkeit abzuwägen.
Lesen Sie weiter >



August 6, 2018

DSGVO und journalistische Bildberichterstattung

Sind Fotos von Personen ohne Einwilligung noch zulässig? Eine der vielen noch ungeklärten Fragen seit der DSGVO. Unklarheiten ergeben sich insbesondere aus dem Verhältnis der DSGVO zum Kunsturhebergesetz (KUG). Jedenfalls bezüglich der Bildberichterstattung von Medienunternehmen bringt das OLG Köln Licht ins Dunkel: Das KUG gilt im journalistischen Bereich auch unter der DSGVO fort.

Lesen Sie weiter >



July 31, 2018

Auftragsverarbeitung? Ja, nein, vielleicht?

Wonach entscheidet sich beim Outsourcen einer Datenverarbeitung, ob eine Vereinbarung zur Auftragsverarbeitung („AV“) zu schließen ist? Diese Frage beschäftigt nahezu alle Unternehmen. Liegt kein Fall der AV vor, wäre eine andere Rechtsgrundlage für die zulässige Verarbeitung zu finden. Handelt es sich um eine AV, sind die diversen Voraussetzungen des Art. 28 DSGVO zu erfüllen.

Lesen Sie weiter >



June 22, 2018

DSFA – Angst essen Seele auf?

Die DSGVO sieht in Art. 35 vor, dass bei einer Datenverarbeitung mit hohem Risiko für „Rechte und Freiheiten natürlicher Personen“ eine sog. Datenschutzfolgenabschätzung (DSFA) durchzuführen ist.

Folglich ist bei bestimmten Verarbeitungsvorgängen von personenbezogenen Daten abzuschätzen, welche Folgen sie für den Schutz dieser Daten haben. Wann dies der Fall ist, wird sehr allgemein und nicht abschließend in Art. 35 Abs. 3 DSGVO dargestellt. Eine Hilfestellung zur Risikobewertung fehlt.

Lesen Sie weiter >



June 21, 2018

WhatsApp, Slack und Co. in der betrieblichen Kommunikation…

Im Rahmen der Vorbereitung auf die DSGVO wurden in zahlreichen Unternehmen die datenschutzrechtlichen Prozesse auf den Prüfstand gestellt.

Eine Frage, die dabei erstaunlich oft aufkam: „Darf ich WhatsApp (oder andere Messenger-Dienste) auf dem Diensthandy bzw. dienstlich genutzten Privathandy nutzen?“. Die kurze Antwort lautet „Nein!“. Bei Installation wird nämlich das gesamte Adressbuch ausgelesen, wobei die Daten auf Servern in den USA landen.

Lesen Sie weiter >



June 14, 2018

TeleTrusT veröffentlicht revidierte und erweiterte Fassung der Handreichung zum „Stand der Technik“

Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert.

Lesen Sie weiter >



May 18, 2018

Wettbewerbsvorteil Datenschutz?

Die Quelle ist unbekannt, aber seit Jahren wird kolportiert, deutsche Unternehmen hätten einen Standortvorteil, ja einen Wettbewerbsvorteil durch das hiesige Datenschutzrecht. Bislang vor allem in Form des BDSG. Bemüht man die Suchmaschine seiner Wahl zu „Wettbewerbsvorteil DSGVO“ sind sich offenbar Viele einig: auch und gerade die DSGVO werde – nunmehr den Unternehmen der EU – einen Wettbewerbsvorteil bringen. Der Grund für diese Annahme liegt zwischen Wunschdenken und Realitätsverlust. Einen Beweis für diese Behauptung gibt es jedenfalls nicht.

Lesen Sie weiter >



May 11, 2018

Privacy by Design/ Privacy by default

“Privacy by Design” – das klingt ein bisschen nach einer gecasteten Boy-Band der späten Neunziger. Dahinter verbirgt sich aber in Wahrheit einer der Grundsätze zur Auswahl technischer und organisatorischer Maßnahmen. Zwar ist der dazugehörige Text von Art. 25 Abs. 1 nicht annähernd so eingängig wie die Hits der 90er, aber genauso nichtssagend. Im Ergebnis soll sich der Verantwortliche schon von Anfang an mit dem Datenschutz beschäftigen und nicht erst auf Verstöße reagieren. Hierfür hat der Verantwortliche bei Festlegung seiner Maßnahmen solche auszuwählen, die geeignet sind, die Datenschutzgrundsätze von Art. 5 wirksam umsetzen.

Lesen Sie weiter >




February 28, 2018

Datenschutzkonferenz zum Beschäftigtendatenschutz

Wer sich über die neuen Themen der DSGVO informieren möchte, muss ja eigentlich nur regelmäßig unseren Newsletter lesen. Wem das aber noch nicht reicht, der kann einen Blick in die Kurzpapiere der Datenschutzkonferenz der obersten Datenschützer der Länder (DSK) werfen. Zu zentralen Fragen der DSGVO gibt die DSK seit geraumer Zeit die angesprochenen Kurzpapiere heraus, so jetzt auch zum Beschäftigtendatenschutz.

Lesen Sie weiter >



Datenschutz Compliance out- oder insourcen?

Die Aussicht auf hohe Bußgelder hat die Umsetzung der DSGVO bei vielen Unternehmen immerhin auf die Agenda gesetzt. Bei manchem dürfte der Elan aber spätestens bei der Lektüre von Art. 32 verfliegen. Als Freund in der Not kann sich da der Datenschutzbeauftragte entpuppen. Für alle Unternehmen mit mehr als 9 Mitarbeitern ist die Bestellung ohnehin Pflicht.

Lesen Sie weiter >




January 5, 2018

Am Anfang steht die Schutzbedarfsanalyse

Die Datenschutz-Grundverordnung sieht einen risikobasierten Ansatz zum Schutz personenbezogener Daten vor. Doch was bedeutet dies nun für die Umsetzung von Schutzmaßnahmen in der Praxis? Die Verordnung verpflichtet sowohl Unternehmen als auch die öffentliche Verwaltung dazu, datenverarbeitende Prozesse angemessen abzusichern. Dabei sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte Betroffener zu berücksichtigen.

Lesen Sie weiter >



December 12, 2017

Die DSGVO gilt auch für außereuropäische Unternehmen

Die EU als weltweit größter Binnenmarkt setzt einen weltweiten Standard für den Datenschutz. Dies wird unter anderem dadurch manifestiert, dass auch Unternehmen mit Niederlassungen außerhalb der EU die Vorgaben der DSGVO einhalten müssen – zumindest unter bestimmten Voraussetzungen.

Lesen Sie weiter >



December 6, 2017

Ran an den Zweck!

Kern des hiesigen Datenschutzrechts ist seit Jahrzehnten: Erst muss der Zweck einer Verarbeitung von personenbezogenen Daten festgelegt werden, dann darf verarbeitet werden. Und zwar in den Grenzen eben dieser Zweckbestimmung.

Lesen Sie weiter >



October 28, 2017

Neue Studie zum Umsetzungsstand der DSGVO

49 % der Unternehmen beschäftigen sich bisher mit der Umsetzung der DSGVO – 33 % bisher noch gar nicht. Zudem: lediglich 55 % der Unternehmen geben an, dass sie die gesetzlichen Vorgaben bis zur Geltung der DSGVO im Mai 2018 umgesetzt haben werden. Dies hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) in einer kürzlich veröffentlichten Studie festgestellt.

Lesen Sie weiter >




October 5, 2017

Informationspflichten bei der Datenerhebung

Die DSGVO sieht Informationspflichten für die Verarbeitung personenbezogener Daten vor. Diese sollen es ermöglichen, dass Betroffene ihre Rechte leichter wahrnehmen können. Die DSGVO differenziert bezüglich des Umfangs dieser Pflichten zwischen der Direkterhebung durch den Verantwortlichen sowie der Erhebung von Daten durch Dritte.

Lesen Sie weiter >





July 31, 2017

Was sagt Art. 29 DSGVO zum Beschäftigungsdatenschutz?

Die DSGVO stellt die Anforderungen an den Datenschutz für Arbeitnehmer und Freelancer auf eine Stufe. Sie müssen umfassend über die Datenverarbeitung informiert werden, auch wenn diese zur Vertragsdurchführung erforderlich ist, gesetzlichen Pflichten entspricht oder dem Monitoring dient.

Lesen Sie weiter >



July 6, 2017

Neue Haftung – neue ADV!

Der Abschluss einer ADV-Vereinbarung kann im Einzelfall zäh sein. Entsprechend dürfte sich der Eifer in Grenzen halten, diese im Hinblick auf die DSGVO nachzuverhandeln. Das kann sich allerdings rächen. Die DSGVO verschiebt nämlich die Haftung für Verstöße teilweise zum Auftragsverarbeiter.

Lesen Sie weiter >



June 19, 2017

Umfangreichere Anforderungen für betriebliche Datenschutzbeauftragte

Wie das alte BDSG regelt auch die DSGVO die Voraussetzungen und Aufgaben des betrieblichen Datenschutzbeauftragten (DSB). Jedoch werden im Rahmen der DSGVO sowohl der Aufgabenkreis als auch die Verantwortlichkeiten des DSB noch einmal erheblich erweitert. Während nach jetzigen Vorgaben der DSB eine eher unterstützende und beratende Funktion wahrnimmt, wird er zukünftig auch für die Überwachung und Einhaltung der gesetzlichen Vorgaben verantwortlich sein.

Lesen Sie weiter >



April 1, 2017

Datenschutz-Folgenabschätzung

Wer eine Datenverarbeitung plant, die voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt, hat künftig eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorzunehmen. Ergibt sich ein hohes Risiko, muss die Datenschutzaufsichtsbehörde konsultiert werden.

Lesen Sie weiter >





Das neue IT-Sicherheitsgesetz

Bundestag und Bundesrat haben das neue IT-Sicherheitsgesetz (ITSiG) beschlossen. Nach Verkündung, ist das ITSiG daher verbindliches Recht. Damit ist IT-Sicherheit erstmals allgemein und in einem eigenen Gesetz vorgeschrieben. Unternehmen sollten spätestens jetzt IT-Sicherheit ganz oben auf die eigene Unternehmensagenda stellen. Der Beitrag stellt die wichtigsten Neuerungen des ITSiG dar und skizziert Lösungsansätze. Lesen Sie weiter >



Datenschutzverstöße werden abmahnfähig

Der deutsche Bundestag diskutiert im Augenblick über eine Änderung des Unterlassungsklagegesetzes. Was auf den ersten Blick nicht sehr spannend scheint hat, es in sich. Auf Initiative des Bundesministeriums für Justiz und Verbraucherschutz soll die Durchsetzbarkeit zivilrechtlicher Ansprüche im Datenschutzrecht verbessert werden. Mit anderen Worten: Datenschutzverstöße können zukünftig von Verbraucherzentralen abgemahnt und gerichtlich verfolgt werden. Lesen Sie weiter >